สรุปเหตุการละเมิดข้อมูลส่วนบุคคลในประเทศไทย และบทลงโทษที่องค์กรได้รับ ตั้งแต่ PDPA เริ่มบังคับใช้ จนถึงปี 2568

October 13, 2025

สรุปเหตุการละเมิดข้อมูลส่วนบุคคลในประเทศไทย และบทลงโทษที่องค์กรได้รับ ตั้งแต่ PDPA เริ่มบังคับใช้ จนถึงปี 2568

ตั้งแต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 จนถึงปัจจุบัน (ปี 2568) โดยบทความนี้จะมุ่งเน้นกรณีที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) มีคำสั่งปรับทางปกครองแล้ว

ทั้งนี้ โดยทั่วไปแล้ว ชื่อขององค์กรที่ถูกปรับจะไม่มีการเปิดเผยในเอกสารทางกฎหมายสาธารณะ แต่จะระบุตามประเภทธุรกิจหรือหน่วยงานแทน โดยมีรายละเอียด ดังนี้

จากตารางข้างต้น ท่านจะเห็นได้ว่าการละเมิดข้อมูลส่วนใหญ่ เกิดจากความหละหลวมด้าน “การรักษาความมั่นคงปลอดภัย (security)” ให้กับข้อมูลส่วนบุคคล

เพื่อให้การป้องกันข้อมูลรั่วไหลเป็นไปตามมาตรฐานที่กำหนดโดย PDPA องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งครอบคลุมหลักการพื้นฐาน 3 ประการ คือ การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล

มาตรการรักษาความมั่นคงปลอดภัย

มาตรการรักษาความมั่นคงปลอดภัยตามมาตรฐาน PDPA ขั้นต่ำจะต้องประกอบด้วย มาตรการเชิงองค์กร (Organizational Measures) และ มาตรการเชิงเทคนิค (Technical Measures) และอาจรวมถึง มาตรการทางกายภาพ (Physical Measures) ที่จำเป็นด้วย โดยมีรายละเอียดสำคัญดังนี้

1. มาตรการเชิงองค์กร (Organizational Measures)

มาตรการเหล่านี้เกี่ยวข้องกับการบริหารจัดการ การกำหนดนโยบาย และการสร้างความตระหนักรู้ของบุคลากรในองค์กร

2. มาตรการเชิงเทคนิค (Technical Measures)

มาตรการเหล่านี้เกี่ยวข้องกับการใช้เทคโนโลยีและระบบสารสนเทศเพื่อปกป้องข้อมูล

3. มาตรการทางกายภาพ (Physical Measures)

มาตรการเหล่านี้เกี่ยวข้องกับการรักษาความปลอดภัยในพื้นที่จัดเก็บข้อมูล ทั้งในรูปแบบเอกสารและอิเล็กทรอนิกส์

แม้ว่าจะมีมาตรการป้องกันความปลอดภัยสำหรับข้อมูลส่วนบุคคลแล้ว แต่เราก็ปฏิเสธไม่ได้ว่าโลกทุกวันนี้มีการเปลี่ยนแปลงอยู่ตลอดเวลา การแฮกข้อมูลก็สามารถเกิดขึ้นทุกเมื่อ ดังนั้นองค์กรของท่านควรปฏิบัติตัวให้เกิดความเสี่ยงน้อยที่สุด ด้วยการตรวจสอบการใช้งานเทคโนโลยี พร้อมติดตั้งระบบแจ้งเตือน เพื่อลดความเสียหายที่อาจเกิดขึ้นได้อย่างทันท่วงที

ฉะนั้น หากองค์กรของท่านไม่อยากต้องมาเสี่ยงกับเหตุการณ์เช่นนี้ PDPA Core มีผู้เชี่ยวชาญด้านกฎหมายมืออาชีพ ที่เข้าใจเกี่ยวกับ PDPA ในเชิงลึก พร้อมกับบริการให้คำปรึกษา จัดทำ และตรวจสอบ PDPA ในองค์กร เพื่อช่วยให้ธุรกิจของคุณเป็นไปตามกฎหมาย PDPA ได้อย่างถูกต้อง ติดต่อเราได้ที่ sales@datawow.io หรือโทร 02-024-5560

    ให้คำปรึกษาและดำเนินการ

    ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

    ดูข้อมูลเพิ่มเติม

    บทความที่เกี่ยวข้อง

    จุดเริ่มต้นที่มั่นคง สู่การเติบโตอย่างปลอดภัย

    จุดเริ่มต้นที่มั่นคง สู่การเติบโตอย่างปลอดภัย

    06/10/2025

      บริษัท เดต้า ว้าว จำกัด

      7 อาคารซัมเมอร์ พอยท์ ชั้นที่ 2 ซอยสุขุมวิท 69
      แขวงพระโขนงเหนือ เขตวัฒนา กรุงเทพมหานคร 10110 ประเทศไทย

      โทร: 02-024-5560

      sales@datawow.io

      ISO